Telegramメッセンジャー・デスクトップ版アプリで、MoneroやZCashなどの暗号化された通貨を蔓延させるマルウェアが、暗号化ゼロデイ脆弱性から発見されました。

Telegramメッセンジャーアプリの脆弱性

Telegramの脆弱性は、昨年10月にKaspersky Labのセキュリティ研究者Alexey Firshによって明らかにされ、TelegramメッセージングソフトウェアのWindowsクライアントにのみ影響を与えました。

この欠陥は少なくとも2017年3月から、被害者を騙して、CPUパワーを使って暗号化されたPCに悪意のあるソフトウェアをダウンロードさせたり、影響を受けるマシンをリモートから制御するためのバックドアとして使用されていました。

この脆弱性は、Telegram Windowsクライアントがアラビア語やヘブライ語のように右から左に書かれた言語をコーディングするために使用されるRLO（右から左へのオーバーライド）Unicode文字（U + 202E）を処理する箇所で見つかっています。

Kaspersky Labによると、マルウェアの作成者は、ファイル名に隠されたRLO Unicode文字を使用して、文字の順序を逆転させ、ファイル自体の名前を変更し、Telegramユーザーに送信していました。

たとえば、攻撃者がメッセージ内の "photo_high_re * U + 202E * gnp.js"という名前のファイルをテレグラムユーザーに送信すると、ユーザーの画面に表示されたファイルの名前が最後の部分を反転します。

テレグラムユーザーは、JavaScriptファイルの代わりに着信PNG画像ファイルを装い、悪意のあるファイルを画像として偽装してダウンロードさせるようなしくみで感染していました。



カスペルスキー・ラボはテレグラムの脆弱性を報告し、テレグラム社は製品の脆弱性にパッチを当てている。